بعد از نفوذ به یک سیستم کامپیوتری چندین اقدام مهم توسط هکر معمولاً انجام می‌شود به‌عنوان‌مثال پاک کردن کلیه اثرات و ردپاها ، استفاده از قربانی به‌عنوان نقطه ورود به مکان دیگر و یا حفظ و نگهداری قربانی برای مدت‌زمان طولانی.این کار باهدف استفاده حداکثر و بلندمدت از قربانی توسط هکر انجام می‌شود.ازجمله اقداماتی که توسط هکر بدین منظور استفاده می‌شود می‌توان به موارد ذیل اشاره کرد:

1.     غیرفعال کردن ارسال رویدادها

یکی از اولین اقداماتی که توسط هکر در بدو نفوذ به یک سیستم انجام می‌شود غیرفعال کردن سرویس ارسال رویدادهای سیستم است با این هدف که مسئول امنیت شبکه از رویدادهای اتفاق افتاده در سیستم مطلع نگردد.بنابراین می‌بایست به غیرفعال شدن سرویس ارسال رویداد حساس بود و موارد به‌دقت بررسی گردد.

2.     تغیر تنظیمات و پیکره‌بندی سیستم‌عامل ، رجیستری، فایروال و...

این عمل با دو هدف انجام می‌شود:

·         ورود و امکان مجدد استفاده از قربانی توسط هکر و اعمال تنظیمات خاص با این هدف

·         بستن راه‌های ورود به سیستم با این هدف که قربانی تنها مورداستفاده هکر قرار بگیرد و از کنترل وی خارج نگردد و از استفاده توسط دیگر هکرها جلوگیری کند.

بنابراین می‌بایست به تغییرات در سیستم‌عامل و برنامه‌ها حساس بوده و هرگونه تغییر رصد شود .

3.     غیرفعال کردن به‌روزرسانی سیستم‌عامل ، آنتی‌ویروس و برنامه‌ها

شرکت‌های تولیدکننده سیستم‌عامل و انواع برنامه به‌صورت دوره‌ای بسته‌های به‌روزرسانی باهدف رفع مشکلات امنیتی در برنامه‌ها ارائه می‌کنند.با بروز شدن برنامه بسیاری از مشکلات امنیتی موجود در برنامه برطرف می‌گردد.

4.     نصب یا غیرفعال کردن یک سرویس خاص

هکر با نصب یک سرویس خاص بر روی سیستم‌عامل باهدف فراهم کردن درب پشتی[1] برای نفوذ و استفاده مجدد از سیستم است. و همچنین با غیرفعال کردن سرویس‌های امنیتی از کشف نفوذ هکر به سیستم جلوگیری می‌کند.

5.     به‌روزرسانی برنامه مخرب

هکر سعی کند برنامه‌های مخرب نصب‌شده بر روی قربانی را با ترفندهای مختلف مانند مورد ذیل به روز کند.

6.       تغییر صفحه پیش‌فرض مرورگر[2]

با این کار با باز شدن مرورگر سایت پیش‌فرض مرورگر موردنظر هکر باز می‌شود به‌قرار دادن نسخه‌های جدید برنامه‌های مخرب در آن صفحه توسط هکر ، برنامه‌های مخرب بر روی سیستم قربانی به‌روز می‌گردد.

تالیف و ترجمه:مجید کریمی زارچی

امروزه تهدیدات[1] امنیتی به‌شدت در حال افزایش است.از طرفی تنوع شبکه‌های کامپیوتری نیز در حال افزایش است.ما می‌دانیم که در اکثر سازمان‌ها یک شبکه همگن و یکدستی وجود ندارد و این پیچیدگی‌های مختلف می‌تواند برای ما طاقت‌فرسا باشد.دست‌کم انتظار می‌رود که انواع رویدادهای[2] که در سیستم توسط انواع مختلف دارایی[3] تولید می‌شود و به هم مرتبط هستند درک شوند .امروز ه در دنیای واقعی نیز بسیاری از وقایع که در کشورهای مختلف اتفاق می‌افتد به هم مرتبط بوده و ممکن است درنهایت منجر به یک رخداد خاص شود.درست مثل رویدادهای که در شبکه یک سازمان رخ می‌دهد به‌عنوان‌مثال در شبکه یک سازمان اگر توسط یک ایستگاه کاری[4] یک کرم[5] دانلود شود ، فایروال تعداد زیادی بسته مشکوک از نوع ICMP تشخیص می‌دهد، در روتر سازمان درخواست مسیریابی غیرمعقولی رخ دهد، شخصی در سازمان یک دستگاه غیرمجاز را به شبکه متصل کرده باشد.تمام این اتفاقات و رویدادها چه ارتباطی می‌تواند باهم داشته باشند؟چگونه می‌توان یک دید و فهم جامع از این رویدادها داشت؟این امکان  تنها توسط یک  سیستم امنیت اطلاعات و مدیریت رویدادها[6] برآورده می‌شود. در حال حاضر بیش از هر زمان دیگری این موضوع مهم است، که به جمع‌آوری رویدادهای مختلف و مرتبط که در شبکه یک سازمان اتفاق می‌افتد پرداخت. این اطلاعات برای  شناسایی، اولویت‌بندی و پاسخ به حملات سایبری و بررسی نقض قوانین و مقررات سازمان حیاتی است.می‌توان به رویدادها به‌صورت لحظه‌ای واکنش نشان داد.یک محصول سیستم امنیت اطلاعات و مدیریت رویدادها به  ذخیره‌سازی متمرکز ، تفسیر اطلاعات رویدادهای جمع‌آوری‌شده از دستگاه‌ها و نرم‌افزارهای مختلف در سراسر شبکه سازمانی می‌پردازد. نه‌تنها قطعات جورچین را جمع‌آوری می‌کند بلکه به ما تصویر کامل از  قطعات جورچین که کنار چیده شده است می دهد. سیستم امنیت اطلاعات و مدیریت رویدادها یکی جدیدترین مباحث در دنیای فناوری اطلاعات است.اجزاء مختلف یک سیستم امنیت اطلاعات و مدیریت رویداد از حدود 10 الی 20 سال پیش ظهور کردند، اما به‌تازگی ترکیبی مناسب و کارا از این اجزا ارائه‌شده است. سیستم امنیت اطلاعات و مدیریت رویدادها از اجزاء پیچیده‌ای تشکیل‌شده است که در کنار هم به دنبال رسیدن به اهداف و وضوح در سازمان است.با بهره‌گیری از کارشناسان و مدیران حوزه امنیت می‌توان با سیستم امنیت اطلاعات و مدیریت رویدادها به هر چیزی دست‌یافت. یک سیستم مدیرت محتوا با عناوین ذیل نیز شناخته می‌شود:

Security Information Management (SIM)

Security Event Management (SEM)

Security Event and Information Management (SEIM).

---

[1] threats

[2] Event

[3] asset

[4] workstation

[5] worm

[6] SIEM